Хотите прокачать навыки на TryHackMe? Собрали для вас подборку репозиториев с решением разных задач:
🔗 https://github.com/AfvanMoopen/tryhackme-
🔗 https://github.com/The-Debarghya/TryHackMe-Writeups
🔗 https://github.com/GohEeEn/TryHackMe-Write-Up
🔗 https://github.com/starlingvibes/TryHackMe
#pentest #practice
🔗 https://github.com/AfvanMoopen/tryhackme-
🔗 https://github.com/The-Debarghya/TryHackMe-Writeups
🔗 https://github.com/GohEeEn/TryHackMe-Write-Up
🔗 https://github.com/starlingvibes/TryHackMe
#pentest #practice
GitHub
GitHub - AfvanMoopen/tryhackme-: All Solutions
All Solutions . Contribute to AfvanMoopen/tryhackme- development by creating an account on GitHub.
Важно: правила площадки❗️
1️⃣ За спам, рекламу, ботоводство, скам — бан и удаление всех комментариев
2️⃣ За оскорбления группы/канала/админа/других участников, политические дебаты — первый раз удаление, второй раз — профилактический бан на неделю, третий раз — бан
3️⃣ За ссылки на нелегальные ресурсы — первый раз удаление, второй раз — бан
Напоминаем, что написать нам можно сюда: @proglibrary_feedback_bot
Пожалуйста, соблюдайте правила — мы со своей стороны тоже будем стараться максимально оперативно модерировать комментарии.
1️⃣ За спам, рекламу, ботоводство, скам — бан и удаление всех комментариев
2️⃣ За оскорбления группы/канала/админа/других участников, политические дебаты — первый раз удаление, второй раз — профилактический бан на неделю, третий раз — бан
3️⃣ За ссылки на нелегальные ресурсы — первый раз удаление, второй раз — бан
Напоминаем, что написать нам можно сюда: @proglibrary_feedback_bot
Пожалуйста, соблюдайте правила — мы со своей стороны тоже будем стараться максимально оперативно модерировать комментарии.
🔧 ghauri — кроссплатформенный инструмент для автоматизации обнаружения и эксплуатации SQL-инъекций.
Одним словом, если sqlmap не работает должным образом, просто попробуйте ghauri 🤷♂️
Репозиторий
#tools #bugbounty #pentest
Одним словом, если sqlmap не работает должным образом, просто попробуйте ghauri 🤷♂️
Репозиторий
#tools #bugbounty #pentest
GitHub
GitHub - r0oth3x49/ghauri: An advanced cross-platform tool that automates the process of detecting and exploiting SQL injection…
An advanced cross-platform tool that automates the process of detecting and exploiting SQL injection security flaws - r0oth3x49/ghauri
💭Какие, по вашему мнению, самые глупые вопросы по ИТ/ИБ вам задавали на собеседованиях? Поделитесь своим личным топом👇
#холивар
#холивар
Интервью с командами атаки
Две стабильно лучшие команды на Standoff рассказывают о секретах подготовки и результата, а также о структуре команд, ролях и инструментах. Обязательно к посмотру пентестерам и Red/Blue team специалистам.
Смотреть
#pentest #redteam #blueteam
Две стабильно лучшие команды на Standoff рассказывают о секретах подготовки и результата, а также о структуре команд, ролях и инструментах. Обязательно к посмотру пентестерам и Red/Blue team специалистам.
Смотреть
#pentest #redteam #blueteam
YouTube
Интервью с командами атаки
Какая кроссплатформенная утилита первая приходит на ум при обсуждении компьютерных сетей? Вероятнее всего, ping.
Так почему бы не посмотреть на нее под другим углом — с графиками и кастомизацией под себя. Встречайте: gping.
#tools
Так почему бы не посмотреть на нее под другим углом — с графиками и кастомизацией под себя. Встречайте: gping.
#tools
GitHub
GitHub - orf/gping: Ping, but with a graph
Ping, but with a graph. Contribute to orf/gping development by creating an account on GitHub.
Сколько повышений в должности у вас было за последние три года на последнем/текущем месте работы? (смена работы не считается повышением)
Anonymous Poll
34%
0
16%
1
9%
2
8%
Более 2-х
4%
Я фрилансер, занимаюсь проектной работой
29%
Я не работаю, хочу посмотреть результаты
Как создавать и использовать элиасы: гайд, включающий 30 практических примеров элиасов bash
Команда alias — это, по сути, ярлык команд Linux. Она позволяет пользователю запускать любую команду или даже группу команд, в том числе с опциями, параметрами и файлами, вводом одного слова или даже символа.
Читать
#practice #guide
Команда alias — это, по сути, ярлык команд Linux. Она позволяет пользователю запускать любую команду или даже группу команд, в том числе с опциями, параметрами и файлами, вводом одного слова или даже символа.
Читать
#practice #guide
nixCraft
30 Handy Bash Shell Aliases For Linux / Unix / MacOS
Thirty bash shell aliases tutorials and examples to improve your productivity under a RHEL, CentOS, Debian, MacOS X, *BSD, Ubuntu, and Unix like operating systems.
Использование ICMP-протокола для подключения к С2-серверу — не новая, но довольная интересная техника обхода средств защиты. Разбираемся, что такое ICMP-туннели и с чем их едят.
Читать
#redream #practice
Читать
#redream #practice
Хабр
ICMP-туннели. Что это и с чем едят?
Совсем недавно пролетала новость про новый RAT ’ник (Remote Access Trojan - троян удаленного доступа) RomCom . RomCom Помимо прочего функционала он умеет использовать ICMP-протокол для подключения к...
Опубликован OWASP Top 10 API Security Risks – 2023
📌 Вот как распределился топ-10 рисков безопасности API в 2023 году:
1️⃣Broken Object Level Authorization
2️⃣Broken Authentication
3️⃣Broken Object Property Level Authorization
4️⃣Unrestricted Resource Consumption
5️⃣Broken Function Level Authorization
6️⃣Unrestricted Access to Sensitive Business Flows
7️⃣Server Side Request Forgery
8️⃣Security Misconfiguration
9️⃣Improper Inventory Management
1️⃣0️⃣Unsafe Consumption of APIs
#security #bestpractices #news
📌 Вот как распределился топ-10 рисков безопасности API в 2023 году:
1️⃣Broken Object Level Authorization
2️⃣Broken Authentication
3️⃣Broken Object Property Level Authorization
4️⃣Unrestricted Resource Consumption
5️⃣Broken Function Level Authorization
6️⃣Unrestricted Access to Sensitive Business Flows
7️⃣Server Side Request Forgery
8️⃣Security Misconfiguration
9️⃣Improper Inventory Management
1️⃣0️⃣Unsafe Consumption of APIs
#security #bestpractices #news
owasp.org
OWASP Top 10 API Security Risks – 2023 - OWASP API Security Top 10
The Ten Most Critical API Security Risks
Хотите разматывать веб-уязвимости на раз-два с помощью Burp Suite? Тогда без крутых расширений вам не обойтись. Ловите подборку👇
Читать
#tools #bugbounty #pentest
Читать
#tools #bugbounty #pentest
Охота на Nginx Alias Traversals в дикой природе
В статье представлены результаты исследования особенностей настройки веб-сервера Nginx, которые приводят к проблемам в безопасности.
Основное внимание уделяется директивам location и alias, которые играют центральную роль в том, как Nginx обрабатывает определенные URL-адреса.
Как вишенка на торте — в конце статьи вас ждет анонс инструмента NavGix, который позволяет обнаружить баги, связанные с неправильной настройкой Nginx, методом черного ящика.
Читать
#security #research #pentest
В статье представлены результаты исследования особенностей настройки веб-сервера Nginx, которые приводят к проблемам в безопасности.
Основное внимание уделяется директивам location и alias, которые играют центральную роль в том, как Nginx обрабатывает определенные URL-адреса.
Как вишенка на торте — в конце статьи вас ждет анонс инструмента NavGix, который позволяет обнаружить баги, связанные с неправильной настройкой Nginx, методом черного ящика.
Читать
#security #research #pentest
Эксплуатация XSS в скрытых полях ввода и метатегах
В Chrome появился новый функционал всплывающих окон, который можно реализовать с помощью HTML и без JavaScript. Но мы с вами знаем, что все новое — хорошо забытое старое. Разбираемся, как проэксплуатировать XSS в метатегах и скрытых полях ввода.
Читать
#bugbounty #pentest
В Chrome появился новый функционал всплывающих окон, который можно реализовать с помощью HTML и без JavaScript. Но мы с вами знаем, что все новое — хорошо забытое старое. Разбираемся, как проэксплуатировать XSS в метатегах и скрытых полях ввода.
Читать
#bugbounty #pentest
✔️Вы слишком часто переключаетесь между целями
✔️Вы не тратите много времени на поиск багов
✔️Вы запускаете только автоматическое сканирование, не понимая, как работает веб-приложение
✔️Ваша цель не является многофункциональной или представляет собой статическое веб-приложение
☝️💭 Вот так команда Intigriti видит причины, по которым некоторым багхантерам не удастся преуспевать в поиске багов и уязвимостей. Согласны с ними или есть что добавить?
#холивар
✔️Вы не тратите много времени на поиск багов
✔️Вы запускаете только автоматическое сканирование, не понимая, как работает веб-приложение
✔️Ваша цель не является многофункциональной или представляет собой статическое веб-приложение
☝️💭 Вот так команда Intigriti видит причины, по которым некоторым багхантерам не удастся преуспевать в поиске багов и уязвимостей. Согласны с ними или есть что добавить?
#холивар
Twitter
4 reasons why you are not finding bugs:
• You're switching from targets too much
• You aren't spending a lot of time on bug bounty hunting
• You only run automated scans without understanding what works and what doesn't
• Your target isn't feature-rich or…
• You're switching from targets too much
• You aren't spending a lot of time on bug bounty hunting
• You only run automated scans without understanding what works and what doesn't
• Your target isn't feature-rich or…
Очередная подборка новостей для этичного хакера:
▫️ 11 июля Microsoft выпустила очередной ежемесячный набор патчей для своих продуктов: всего закрыли 132 уязвимости, из них 9 критических.
4 проблемы активно эксплуатировались на момент выпуска патчей, включая одну в Internet Explorer. Еще один zero-day патча не имеет, для него предложено лишь временное решение. Подробный обзор уязвимостей читайте в блоге «Лаборатории Касперского».
▫️ Apple выпустила быстрый патч-заплатку для устройств под управлением iOS и iPadOS вне регулярного графика обновлений ПО. Он закрывает уязвимость в браузерном движке WebKit, которая приводит к выполнению произвольного кода и уже используется в реальных атаках.
▫️ WordPress-плагин AIOS, используемый более чем миллионом сайтов, хранит пароли пользователей в открытом виде🤦♂️
▫️ Доступна превью-версия калькулятора CVSS v4.0.
🌐 КНДР vs Amazon: кто победит? | Как отомстить боссу? | Роналду в панике: хакер раскрыл его тайну: security-новости от главреда секлаб.
#news
▫️ 11 июля Microsoft выпустила очередной ежемесячный набор патчей для своих продуктов: всего закрыли 132 уязвимости, из них 9 критических.
4 проблемы активно эксплуатировались на момент выпуска патчей, включая одну в Internet Explorer. Еще один zero-day патча не имеет, для него предложено лишь временное решение. Подробный обзор уязвимостей читайте в блоге «Лаборатории Касперского».
▫️ Apple выпустила быстрый патч-заплатку для устройств под управлением iOS и iPadOS вне регулярного графика обновлений ПО. Он закрывает уязвимость в браузерном движке WebKit, которая приводит к выполнению произвольного кода и уже используется в реальных атаках.
▫️ WordPress-плагин AIOS, используемый более чем миллионом сайтов, хранит пароли пользователей в открытом виде
▫️ Доступна превью-версия калькулятора CVSS v4.0.
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
COM Hijacking — один из самых популярных методов для закрепления в системе под управлением Windows. Хотите погрузиться в детали технологии Component Object Model и практику детектирования COM Hijacking? У Дианы Кожушок из R-Vision есть для вас кое-что:
🔎 Тайная жизнь COM: как устроен Component Object Model в Windows и стратегии выбора объекта для атаки
🔎 Тайная жизнь COM: погружение в методы Hijacking
#blueteam
🔎 Тайная жизнь COM: как устроен Component Object Model в Windows и стратегии выбора объекта для атаки
🔎 Тайная жизнь COM: погружение в методы Hijacking
#blueteam
Хабр
Тайная жизнь COM: как устроен Component Object Model в Windows и стратегии выбора объекта для атаки
Привет, Хабр! Изучая отчеты по разбору вредоносного ПО, приходишь к выводу, что в последнее время одним из популярных методов для закрепления в системе является COM Hijacking (T1546.015) , применяемый...